“Secret” Agent Exposes Azure Customers To RCE

This week, again Azure makes the news with cloud security issues. Following the linked article, Microsoft secretly installed a “management agent” on customer VMs. As if the act itself was not severe enough, the agent is reachable from the network.

Source: “Secret” Agent Exposes Azure Customers To Unauthorized Code Execution | Wiz Blog

And, if this does not seem bad enough, the said agent will an attacker root access when the authentication header is missing:

When working with the cloud, do your threat modelling before choosing a vendor.

cloud based CI/CD issues – travis-ci

Travis-CI published a security bulletin the other day, describing a special condition that would allow to access secrets belonging to a foreign repository in Github or Bitbucket. The condition requires a fork from a public repository. That’s how open source work, and very central functionality. Not a corner case.

Turns out, the cloud service did address the issue, still plenty of secrets have been affected:

While cloud technology is all great economically, this is another sample of why commercial software vendors need to consider third party vendors in their threat profiles.

AI Wrote Better Phishing Emails

Phishing Email (from the article)

WIRED schreibt, dass es Forschern gelungen ist, mit Hilfe von GPT3, dem Generative Pre-trained Transformer 3 ML Netzwerk, Phishing Mails zu erzeugen, die deutlich wirksamer sind als von Menschen geschriebene Mails.

Endlich ein Einsatzbereich für AI, der sich auch ohne VC Geld lohnt.

Source: AI Wrote Better Phishing Emails Than Humans in a Recent Test | WIRED

Amazon schaltet NSO ab

heise schreibt, dass Amazon NSOs, das ist der Hersteller der Pegasus Spyware, Infrastruktur abschaltet und deren Accounts löscht.

Nun bin ich sicher kein Freund von so fraglicher Software und ganz sicher kein Unterstützer der dazugehörigen Hersteller.

Allerdings ist an der Stelle auch ein anderes Problem deutlich: die Abhängigkeit unabhängiger Hersteller vom Wohlwollen von Cloud-Providern. Soweit ich die Berichterstattung übersehe ist der Vorgang durch die (berechtigte) Beschwerde von Medien und Aktivisten eingeitet worden. Weder bei Heise noch bei dem zitierten Artikel des Vice Magazin ist eine weitere Erklärung zu finden. Mindestens wäre ein Verstoß gegen “Acceptable Use Policies” in der Stellungnahme zu erwarten, oder besser ein Richterspruch.

So haben private Unternehmen die Rolle von Staaten übernommen, der global in der Digitalisierung immer noch um eine angemessene Rolle ringt.

Heise Artikel: www.heise.de/amp/news/Spyware-Pegasus-Amazon-kappt-NSO-Infrastruktur-und-loescht-Accounts-6142529.html

Malicious PyPI Packages

It was a matter of time. After the npm-repository was hit later last year and ruby gems were found mining crypto-currency, this times it’s PyPI that spreads bad code. Supply chain attacks, as this vector is typically referred to, becomes an increasing problem. Foremost for software vendors.

The rich supply of community maintained packages make particular languages attractive to businesses. Plenty of ready made packages allow to rapidly build the most important components required to bootstrap any SaaS business. Authentication, database connectivity, model view abstraction layers, web request routing, html templating, it all can be found in either of these, at no added cost.

However, nothing in life is free and the price vendors pay is the added risk of unvalidated or unverified sources.

Clubhouse leakt 3,8 Milliarden Telefonnummern

Cloubhouse
Clubhouse App (source: future zone.at)

Clubhouse. Das war diese App, die vor einem halben oder ganzen Jahr so unglaublich gehyped worden ist. Man kam nicht rein, das war Invite Only. Man kam nicht von alleine rein, cool waren nur die, die drin waren. Alle in meiner Bubble hatten FOMO, Fear Of Missing Out.

Diesen menschlichen Effekt haben vor 15 Jahren schon Facebook und Google mit seinem Mail Produkt sehr erfolgreich bedient. Das Ergebnis war, dass JEDER unbedingt eine Einladung wollte. Und mit Erhalt der gleichen wirklich äußerst bereitwillig Ihre Adressbücher freigegeben haben.

Für die Experience.

Zwischenzeitlich kann man verbale Ansprachen auch auf Twitter halten und kein Hahn kräht mehr nach Clubhouse.

Trotzdem sind der App jetzt 3,8 Milliarden Telefonnummern weggekommen. Und so wies aussieht seid Ihr auch dabei, wenn Ihr jemanden kennt, der das damals toll fand.

via futurezone.at